SSL 证书与 AWS Certificate Manager？

Question

我对 SSL 证书的各个方面都很陌生。

我有一个架构，Route53 将流量路由到负载平衡。 我们正在转向生产，我们必须实施 SSL 认证来处理 https 流量。

我应该在哪里获得体系结构中的证书？

在搜索时，我播种了 AWS Certificate Manager。 我想知道它有什么不同？

当我购买证书时，我可以使用不同帐户的单个证书吗？ （例如：我可以为 Staging 和多个生产环境设置相同的证书吗）

Answer 1

首选的服务是 AWS ACM。

您可以上传自己的证书（即购买然后上传）或让 AWS 为您生成和管理它。

如果您让 ACM 管理和生成，它将在到期前重新生成并处理每个附加资源的轮换。

需要注意的是，对于 HTTP 流量，ACM 证书只能绑定到以下资源：

• 电子负载均衡器
• CloudFront
• API 网关

一旦连接到这些，您可以使用 SSL 卸载（TLS 连接在资源而不是实例处终止）通过普通 HTTP 连接到后端资源。

您应该知道，如果您想直接从 EC2 提供流量，您将无法使用 ACM 公共 CA，而只能使用以下方法之一：

• 购买证书并部署到所有服务器
• 在每台服务器上使用像certbot这样的服务

此外，您可以使用托管在IAM中的证书，但这被认为是旧版证书，其功能少于 ACM。

Answer 2

您可以使用 ACM 为您生成认证。

如果它是公共证书，它是完全免费的，并且会在到期时自动更新。

但有些安全团队会要求您上传比 ACM 为您生成的更高级的证书，在这种情况下，您可以购买证书并在 ACM 服务中上传。 请记住，它不会自动更新，当它到期时，您必须上传新证书。

我应该在哪里 position 架构中的证书？

• 这取决于您的安全要求，但完全可以在客户端和负载均衡器之间创建 HTTPS 通信，以及在负载均衡器和服务器之间创建 HTTP 通信。 在这种情况下，您只需要 ACM 生成的公共证书。 如果您的安全要求需要创建端到端的安全通信（例如 LoadBalancer 和服务器之间的 HTTPS 通信），您将需要在所有服务器中安装相同的私有证书并将您的私有证书上传到 ACM。

在搜索时，我播种了 AWS Certificate Manager。 我想知道它有什么不同？

• 唯一的区别是，如果您只在负载均衡器/API 网关等中使用，则不需要购买证书，但是如果您想下载证书以安装在本地负载均衡器或服务器中，您将必须为每张证书支付 400 美元。

当我购买证书时，我可以使用不同帐户的单个证书吗？ （例如：我可以为 Staging 和多个生产环境设置相同的证书吗）

• 是的你可以。 但请记住，您需要创建通配符证书以支持多个 DNS 名称。